SEP全功能安全软件客户端操作指南-SEP首页

admin管理员组

文章数量:1532125

2024年1月24日发(作者：)

Symantec Endpoint Protection

客户端操作手册

客户端简介

关于客户端

Symantec Endpoint Protection 保护计算机不受 Internet 威胁和安全风险的入侵。

它可以执行下列操作：

■

扫描计算机上的病毒、已知威胁和安全风险。

■

监控端口上的已知攻击特征。

■

监控计算机上程序的可疑行为。

关于通知区域图标

客户端会使用通知区域图标，指示客户端是联机还是脱机，以及客户端计算机是否

受到充分的保护。您可以右键单击此图标以显示常用命令。此图标位于桌面的右下

角。

表 1-1 显示了 Symantec Endpoint Protection 客户端状态图标。

表 1-1 Symantec Endpoint Protection 状态图标

隐藏及显示通知区域图标

若有必要，您可以隐藏通知区域图标。例如，当您在 Windows 任务栏上需要更多

空间时，可以将它隐藏起来。

1

在主窗口的边栏中，单击“更改设置”。

2

在“更改设置”页面的“客户端管理”旁，单击“配置设置”。

3

在“客户端管理设置”对话框中“常规”选项卡的“显示选项”下，取消选中在通知区域中显示 Symantec 安全图标”。

4

单击“确定”。

显示通知区域图标

1

在主窗口的边栏中，单击“更改设置”。

2

在“更改设置”页面的“客户端管理”旁，单击“配置设置”。

3

在“客户端管理设置”对话框中“常规”选项卡的“显示选项”下，选中“在通知区域中显示 Symantec 安全图标”。

4

单击“确定”。

保持计算机最新防护功能的方式

Symantec 的工程师们对所报告的计算机病毒发作情况进行跟踪以识别新的病毒。

他们也会跟踪混合型威胁、安全风险（如间谍软件）以及在计算机连接 Internet 时

可攻击的其他漏洞。在标识出风险之后，他们便会撰写特征（即关于风险的信息），

然后将它存储在定义文件中。此定义文件包括检测、删除和修复风险影响所需的信

息。当 Symantec Endpoint Protection 扫描病毒和安全风险时，便会搜索这些类型

的特征。

客户端必须保持最新的其他项目还包括允许和限制的进程列表以及攻击特征。进程

列表可帮助 TruScan 主动型威胁扫描识别可疑的程序行为，即使客户端并未识别出

特定的威胁。攻击特征则可提供入侵防护系统保护计算机免受入侵所需要的信息。

除了定义文件、进程列表和攻击特征，客户端还必须不定期更新其组件。这些组件

可包括防病毒和防间谍软件防护引擎、TruScan 主动型威胁扫描引擎以及网络威胁

防护防火墙。这些更新可能包含小型缺陷修复或产品增强功能。

Symantec 会不断提供更新。Symantec 安全响应中心每天都会更新定义文件。新的

病毒定义至少每周使用 LiveUpdate 发送一次，每当新的破坏性病毒出现时，还会

随时进行更新。

关于 Symantec 安全响应中心的角色

Symantec Endpoint Protection 的强大后盾是 Symantec 安全响应中心。Symantec

安全响应中心的研究人员会分解每一个病毒和安全风险样本以发现其典型特征和行

为。他们会使用此信息开发 Symantec 产品用以检测、排除和修复病毒与安全风险

所造成影响的定义文件。

由于新种病毒散播的速度相当快，Symantec 安全响应中心已开发出自动化的软件

分析工具。若您能将受感染的文件从计算机提交到 Symantec 安全响应中心，将能

大幅缩短发现病毒、进行分析和开发出解毒方法的时间。

Symantec 安全响应中心的研究人员还研究和开发出了一些技术以保护计算机免受

安全风险（如间谍软件、广告软件和黑客工具）的侵害。

Symantec 安全响应中心还维护一个病毒大全，它提供了有关病毒和安全风险的详

细信息。必要时，病毒大全会提供关于删除风险的信息。病毒大全位于 Symantec

安全响应中心网站，网址如下：

/region/cn/avcenter

客户端更新防护功能的方式

您可以使用 LiveUpdate 更新软件和定义文件。如果您的客户端使用默认的 LiveUpdate 设置，它会通过 Internet 从Symantec 服务器每周检查一次更新。您可以更改 LiveUpdate 检查更新的频率。如果知道有病毒或其他安全风险爆发时，还可以手动运行 LiveUpdate。

手动更新策略文件

控制客户端防护的设置保存在计算机中的一个策略文件中。策略文件用于更新防病

毒和防间谍软件防护、网络威胁防护、主动型威胁防护和网络访问控制的设置。此

策略文件通常会自动更新。不过，如果您不想等候策略文件的自动更新，则还可以

手动更新策略文件。

注意：您可以查看系统日志，确认操作已成功更新策略。

手动更新策略文件

1 在 Windows 通知区域中，右键单击客户端图标。

2 在弹出菜单中，单击“更新策略”。

验证是否已更新策略

在客户端上更新策略后，即可检查客户端是否已收到该策略。

验证客户端计算机是否已获取更新的策略

1 在客户端计算机的主 Symantec Endpoint Protection 窗口中，单击“查看日志”。

2 在“客户端管理”旁，单击“查看日志”，再单击“系统日志”。

将看到策略更新的条目，其中包含序列号。

获取更多信息

如果需要更多信息，可访问联机帮助。您可以从 Symantec 安全响应中心网站获取

有关病毒及安全风险的其他信息，网站 URL 是：

/region/cn/avcenter

访问联机帮助

客户端联机帮助系统提供常规信息与步骤，帮助您保护计算机不受病毒和安全风险

的侵袭。

访问联机帮助

◆

在主窗口中，执行下列任一操作：

■

单击“帮助和支持”，然后单击“帮助主题”。

■

在任意单个对话框中，单击“帮助”。与上下文相关的帮助只能在可执行操作的屏幕中使用。

■

在任何窗口中，按 F1。如果该窗口有与上下文相关的帮助，则会出现上下文相关帮助。如果没有上下文相关帮助，则会出现完整的帮助系统。

访问 Symantec 安全响应中心网站

如果已连接到 Internet，则可以访问 Symantec 安全响应中心网站以查看下列项目：

■

病毒大全，其中包含有关所有已知病毒的信息

■

有关恶作剧病毒的信息

■

有关病毒和病毒威胁一般性说明的白皮书

■

有关安全风险的常规信息和详细信息

若要访问 Symantec 安全响应中心网站，请使用下列 URL：

■

在 Internet 浏览器中，键入以下网址：

/region/cn/avcenter

响应客户端

关于客户端交互

客户端在后台运行，从而保护您的计算机不受恶意活动的攻击。有时，客户端需要

通知您有关活动，或者提示您提供反馈。

如果客户端上已启用 Symantec Endpoint Protection，您可能会遇到下列类型的客

户端交互：

病毒或安全风险检测 如果自动防护或扫描检测到病毒或安全风险，将显示

“Symantec Endpoint Protection 检测结果”对话

框，其中包含有关感染的详细信息。该对话框还会显

示 Symantec Endpoint Protection 处理风险时采取

的操作。除了查看活动和关闭对话框之外，您通常不

需要采取其他任何操作。然而，若有必要，您也可以

采取操作。

应用程序相关通知

安全警报

当计算机上的程序试图访问网络时，Symantec

Endpoint Protection 会提示您允许还是拒绝权限。

Symantec Endpoint Protection 会通知您已禁止程序

或已检测到危害您的计算机的攻击。

处理受感染的文件

自动防护默认会持续在计算机上运行。当启动计算机时，就会运行自动生成的活动扫描。自动防护在检测到风险时，会显示结果对话框。扫描运行时，会出现扫描对话框，显示扫描结果。

如果您收到这类通知，可能需要对受感染的文件采取操作。

自动防护和所有扫描类型的默认选项是清除检测到的受感染文件中的病毒。如果客

户端不能清除文件，就会记录这个失败，并将受感染的文件移到隔离区。本地隔离

区是一个特殊的位置，保留给受感染的文件使用以及针对相关系统副作用使用。对

于安全风险，客户端会隔离受感染的文件，并删除或修复其副作用。客户端不能修

复文件时，会将该检测记录下来。

-------------------------------------------------------------------------------------

注意： 病毒只要放到隔离区，便不会扩散。当客户端将文件移到隔离区，您便不能

访问该文件。

--------------------------------------------------------------------------------------

Symantec Endpoint Protection 修复受病毒感染的文件后，您不必采取其他操作来

防护计算机。如果客户端隔离了受安全风险感染的文件，接着加以删除并修复，则

您不必采取其他操作。

您可能不需要处理操作，但可能需要对文件执行其他操作。例如，如果要用原来的

文件替换受感染的文件，则您可能决定删除已清除病毒的文件。

您可以利用通知，立即处理文件。也可以使用日志视图或隔离区，稍后处理文件。

处理受感染的文件

1 执行下列操作之一：

■

在“扫描进度”对话框中，选择在扫描完成后所需的文件。

■

在扫描结果对话框中，选择所需的文件。

■

在客户端的边栏中，单击“查看日志”，再单击“防病毒和防间谍软件防

护”旁的“查看日志”。在日志视图中选择想要的文件。

2 右键单击一个或多个文件，然后选择下列选项之一。请注意，在某些情况下，

客户端可能无法执行您选择的操作。

■

撤消执行的操作：取消执行的操作。

■

清除 (仅限病毒)：删除文件中的病毒。

■

永久删除：删除受感染的文件和所有副作用。对于安全风险，请谨慎使用

此操作。某些情况下，如果删除安全风险，可能会造成应用程序不能工作。

■

移动到隔离区：将受到感染的文件置入隔离区内。若是安全风险，客户端

也会试图删除或修复其副作用。

■

属性：显示有关病毒或安全风险的信息。

关于病毒导致的破坏

如果 Symantec Endpoint Protection 在发生感染时马上发现该感染，客户端清除受

感染的文件后，该文件可能可以完全正常使用。但是，在某些情况下，Symantec

Endpoint Protection 可能会清除已遭病毒破坏的受感染文件。例如，Symantec

Endpoint Protection 可能发现损坏文档文件的病毒，Symantec Endpoint Protection

会删除该病毒，但不能修复受感染文件的内部损坏。

关于通知与警报

您可能会在计算机上看见几种不同类型的通知。这些通知通常会说明状况，并且指

出客户端试图解决问题的方法。

您可能会看见下列几种通知类型：

■

应用程序相关通知

■

安全警报

响应与应用程序相关的通知

您可能会看见一个通知询问您是否要允许应用程序或服务运行。

显示此类型通知的原因有：

■

应用程序请求访问您的网络连接。

■

访问网络连接的应用程序已升级。

■

客户端使用“快速切换用户”切换用户。

您可能会看见下列消息，通知您有应用程序或服务试图访问计算机：

Internet Explorer () 正试图连接到

(使用远程端口 80 (HTTP - 万维网))。

是否允许该程序访问网络?

响应试图访问网络的应用程序

1 在消息框中，单击“详细信息”。

您可查看有关连接和应用程序的详细信息，这些信息包括文件名称、版本号及

路径名称。

2 如果希望客户端在此应用程序下次试图访问您的网络连接时记住您的选择，单

击“记住我的回答，请勿再就此应用程序询问我”。

3 执行下列操作之一：

■

若要允许应用程序访问网络连接，请单击“是”。

只有在您识别该应用程序并确实要让它访问网络连接时，才单击“是”。

如果不确定是否要允许应用程序访问网络连接，请询问管理员。

■

若要阻止应用程序访问网络连接，请单击“否”。

表 2-1 显示可以如何响应询问您是否要允许或禁止应用程序的通知。

表 2-1 应用程序许可通知

您可以在“正在运行应用程序”字段或“应用程序”列表中更改应用程序操作。

更改应用程序通知

有时候，您可能会看见一条消息，指出应用程序已更改。

“Telnet 程序自上次打开后已更改，

这可能是因为您最近更新过它。

是否允许它访问网络?”

上述消息中列出的应用程序试图访问您的网络连接。虽然客户端能够识别该应用程

序的名称，但是自从客户端上次遇到该应用程序后，它的某些内容已经更改。很可

能是最近产品进行了升级。每个新产品版本会使用与旧版本不同的文件指纹文件。

客户端检测到文件指纹文件已更改。

快速切换用户通知

如果使用 Windows Vista/XP，您会看见下列其中一个通知：

“Symantec Endpoint Protection 无法显示

用户界面。如果您使用的是 Windows XP 快速用户切换，

请确保所有其他用户已经从 Windows 注销，然后尝试

从 Windows 中注销并重新登录。如果您使用的是

终端服务，则不支持用户界面。”

或者

“Symantec Endpoint Protection 并未运行，但将会启动。

不过，Symantec Endpoint Protection 无法显示

用户界面。如果您使用的是 Windows XP 快速用户切换，

请确保所有其他用户已经从 Windows 注销，然后尝试

从 Windows 中注销并重新登录。如果您使用的是

终端服务，则不支持用户界面。”

快速切换用户是一种 Windows 功能，让您不需注销计算机就可以快速切换用户。

多位用户可以同时共享一台计算机，并且在来回切换时不需要关闭运行的程序。如

果您使用“快速用户切换”功能来切换用户，那么这些窗口中的某一个窗口将出

现。

若要响应快速切换用户消息，请按照对话框中的说明操作。

响应自动更新通知

如果客户端软件已自动更新，您会看见下列通知：

Symantec Endpoint Protection 检测到

Symantec Endpoint Protection Manager 已提供更新版本的软件。

是否要立即下载?

响应自动更新通知

1 执行下列操作之一：

■

若要立刻下载软件，请单击“立即下载”。

■

若要在指定时间后被提醒，请单击“以后提醒我”。

2 如果更新软件的安装进程开始后显示一则消息，请单击“确定”。

响应安全警报

安全警报会在通知区域图标上方显示一个通知。只需要单击“确定”表示您已读取

消息。通知显示的原因如下：

禁止应用程序消息 根据管理员设置的规则，计算机启动的应用程序遭到禁止。例如，您会看见下列消

息：

已禁止来自于此应用程序的通信：(应用程序名称)

这些通知表示您的客户端已禁止指定为不信任的通信。如果客户端被配置为禁止全

部通信，这些通知会经常出现。如果客户端被配置为允许全部通信，这些通知将不

会出现。

入侵 您的计算机受到攻击，将发出警报通知您，或提供有关处理方法的说明。例如，您

会看见下列消息：

禁止来自于 IP 地址 192.168.0.3 的通信，

从 10/10/2006 15:37:58 到 10/10/2006 15:47:58。已记录

端口扫描攻击。

您的管理员可能已禁用客户端计算机上的入侵防护通知。若要查看客户端检测到的

攻击类型，可以让客户端显示入侵防护通知。

响应网络访问控制通知

如果 Symantec Network Access Control 客户端未遵从安全策略，则可能无法访问

网络。在此情况下，您会看到一条消息，说明由于主机完整性检查失败而 Symantec

Enforcer 禁止您的通信。网络管理员可能在此消息中添加文本，建议可以采取的补

救操作。在关闭消息框之后，打开客户端，查看其中是否显示任何关于还原网络访

问的建议步骤。

响应网络访问控制通知

1 按照消息框中显示的任何建议步骤进行操作。

2 在消息框中，单击“确定”。

管理客户端

关于 LiveUpdate

通过 Internet 连接，LiveUpdate 会将程序更新和防护更新下载到您的计算机。

程序更新是对您已安装产品的微小改进。它们不同于产品升级，产品升级是整个产

品的新版本。程序更新通常是为扩展操作系统或硬件兼容性、调整性能问题或解决

程序错误而创建的。程序更新会根据需要进行发布。

-------------------------------------------------------------------------------------

注意：有些程序更新可能要求安装完成后重新启动计算机。

-------------------------------------------------------------------------------------

LiveUpdate 会自动进行更新检索和安装。它从 Internet 站点找到并获取文件，安

装它们，然后从计算机删除残留的文件。

防护更新是使用最新的威胁防护技术来更新您的 Symantec 产品的文件。您收到的

防护更新视您安装在计算机上的产品而定。

默认情况下，LiveUpdate 会按调度间隔自动运行。根据您的安全设置，可以手动运

行 LiveUpdate。可能也可以禁用 LiveUpdate 或更改 LiveUpdate 调度。

按照调度的时间间隔运行 LiveUpdate

您可以创建一个计划以使 LiveUpdate 按调度的时间间隔自动运行。

按照调度的时间间隔运行 LiveUpdate

1 在客户端的边栏中，单击“更改设置”。

2 在“客户端管理”旁边，单击“配置设置”。

3 在“客户端管理设置”对话框中，单击“调度的更新”。

4 在“调度的更新”选项卡上，选中“启用自动更新”。

5 在“频率”组框中，选择每天、每周或每月运行更新。

6 在“时间”组框中，选择在哪一天、哪一周或每天什么时间运行更新。

7 在“失败事件选项”组框中，选中“持续尝试”，然后指定客户端应重试失败

事件的小时数或天数。

8 在“随机选项”组框中，选中“随机产生开始时间为 + 或 -”，然后指定调度

更新前后的小时数或天数。这会设置更新随机开始的时间范围。

9 单击“确定”。

手动运行 LiveUpdate

您可以使用 LiveUpdate 更新软件和定义文件。LiveUpdate 会从 Symantec 站点检

索新的定义文件，然后替换旧的定义文件。Symantec 产品依赖最新信息来防止计

算机受到新发现威胁的侵害。Symantec 通过 LiveUpdate 为您提供这些信息。

-------------------------------------------------------------------------------------

注意：LiveUpdate 通信支持 HTTP，但不支持 HTTPS。

-------------------------------------------------------------------------------------

使用 LiveUpdate 获得更新

◆

在客户端的边栏中，单击“LiveUpdate”。

LiveUpdate 会连接至 Symantec 服务器，并检查可用的更新，然后自动下载和

安装这些更新。

测试计算机的安全

您可以使用扫描的方式，测试计算机不受威胁和病毒入侵的能力。此步骤的扫描对

于确保计算机不受入侵是非常重要的。其结果可帮助您在客户端上设置各选项以保

护计算机不受攻击。

测试计算机的安全

1 在客户端的边栏中，单击“状态”。

2 在“网络威胁防护”旁，单击“选项”>“查看网络活动”。

3 单击“工具”>“测试网络安全”。

4 在 Symantec 安全检查网站，运行下列一项：

■

若要检查在线威胁，请单击“安全扫描”。

■

若要检查病毒，请单击“病毒检测”。

5 在“用户许可协议”对话框中，单击“我同意”，然后再单击“下一步”。

如果您在步骤 4 单击了“病毒检测”，请单击“我同意”，然后再单击“下一

步”。

在任何时候，如果想要停止扫描，请单击“停止”。

6 当扫描完成时，关闭对话框。

关于防篡改

防篡改可为 Symantec 应用程序提供实时防护。它可以阻挡恶意软件（如蠕虫、特

洛伊木马、病毒及安全风险）的攻击。

您可以将防篡改设置为采取下列操作：

■

禁止篡改企图并记录事件

■

记录篡改事件但不干扰篡改事件

除非您的管理员更改了默认设置，否则防篡改功能会为受管客户端和非受管客户端

启用。当防篡改功能检测到篡改企图时，默认会采取的操作是在防篡改日志中记录

该事件。您可以将防篡改配置为在检测到篡改企图时在您的计算机上显示通知。您

可以自定义此消息。除非您启用该功能，否则防篡改不会通知您有关篡改企图的事

件。

如果您使用的是非受管客户端，则可以更改您的防篡改设置。如果您使用的是受管

客户端，只要您的管理员允许，也可以更改这些设置。

初次使用 Symantec Endpoint Protection 时，若您每周监控一次日志，最好维持默

认操作“仅记录”。在没有发现误报可以放心的情况下，就可以将防篡改设置为

“禁止并记录”。

-------------------------------------------------------------------------------------

注意：如果您使用第三方的安全风险扫描程序来检测并防御不需要的广告软件和间

谍软件，该扫描程序通常会影响 Symantec 进程。如果您在运行第三方的安全风险

扫描程序的同时启用防篡改，防篡改会生成大量的通知和日志条目。最佳的做法是

让防篡改一直保持为启用状态，并在生成的事件数目过多时使用日志过滤功能。

-------------------------------------------------------------------------------------

启用、禁用和配置防篡改

您可以启用或禁用防篡改。如果启用了防篡改，您可以选择当它检测到篡改 Symantec

软件的企图时所要采取的操作。您也可以让防篡改显示消息，通知您出现了防篡改

企图。如果您要自定义此消息，可以使用防篡改会填入适当信息的预定义变量。

-------------------------------------------------------------------------------------

注意：如果管理员管理您的计算机，且这些选项显示一个锁图标，则表示管理员已

经将它们锁定，因此您无法更改这些选项。

-------------------------------------------------------------------------------------

有关预定义变量的信息，请单击“防篡改”选项卡上的“帮助”。

启用或禁用防篡改

1 在主窗口的边栏中，单击“更改设置”。

2 在“客户端管理”旁边，单击“配置设置”。

3 在“防篡改”选项卡上，选中或取消选中“防止 Symantec 安全软件被篡改或

关闭”。

4 单击“确定”。

配置防篡改

1 在主窗口的边栏中，单击“更改设置”。

2 在“客户端管理”旁边，单击“配置设置”。

3 在“防篡改”选项卡的“在应用程序试图篡改或关闭 Symantec 安全软件时要

采取的操作”列表框中，单击“禁止它并记录事件”或“仅记录事件”。

4 如果您要在防篡改检测到可疑行为时收到通知，请选中“检测到篡改时显示通

知消息”。

如果您启用了这些通知消息，就可以收到关于 Windows 进程以及 Symantec

进程的通知。

5 若要自定义显示的消息，请在消息字段中更新文本。

6 单击“确定”。

Symantec Endpoint

Protection 简介

Symantec Endpoint Protection 保护计算机的方式

Symantec Endpoint Protection 提供的安全策略包括多种防护功能来保护您的计算

机。

下列几种防护功能将共同工作，保护您的计算机不受风险的入侵：

■

防病毒和防间谍软件防护

■

网络威胁防护

■

主动型威胁防护

关于防病毒和防间谍软件防护

防病毒和防间谍软件防护可确保您的计算机免遭已知病毒与安全风险的攻击。如果

能够很快地从计算机中检测到病毒并删除它们，那么病毒就不会传播到其他文件

中，也不会引起破坏。病毒和安全风险的影响可以修复。当 Symantec Endpoint

Protection 客户端检测到病毒或安全风险时，默认情况下客户端会通知您检测的结

果。如果不希望收到通知，您或管理员可以将客户端配置为自动处理风险。

防病毒和防间谍软件防护可提供以特征为基础的扫描，并包括下列功能：

■

自动防护扫描

自动防护会持续运行，并通过监控您计算机上的活动为您的计算机提供实时防

护。自动防护会在文件执行或打开时查看其是否含病毒或安全风险，也会在您

修改文件时查看其是否含病毒或安全风险。例如，您可能会重命名、保存文件，

或在文件夹之间移动或复制文件。

■

调度、启动及按需扫描

您或管理员可以配置其他要在您计算机上运行的扫描。这些扫描会搜索受感染

文件中残留的病毒特征，也会搜索受感染文件中安全风险的特征与系统信息。

您或管理员都可以启动扫描，系统地检查计算机上的文件是否有病毒和安全风

险。安全风险可能包括广告软件或间谍软件。

关于网络威胁防护

Symantec Endpoint Protection 客户端提供了可自定义的防火墙，可保护您的计算

机免遭恶意或无意的入侵和不当使用。它可以检测并识别已知的端口扫描及其他常

见的攻击。然后，防火墙会选择允许或禁止各种网络服务、应用程序、端口以及组

件来进行响应。它包括若干种类型的防护防火墙规则及安全设置，可保护客户端计

算机避开可能造成伤害的网络通信。

网络威胁防护提供防火墙及入侵防护特征，可阻挡入侵攻击和恶意内容。防火墙可

根据各种条件允许或禁止通信。

防火墙规则可以决定您的计算机是允许还是禁止试图通过网络连接访问您计算机的

入站或出站应用程序或服务。防火墙规则可以系统地允许或禁止来自或传至特定 IP

地址及端口的入站或出站应用程序及通信。安全设置可检测并标识常见的攻击、在

受到攻击之后发送电子邮件、显示可自定义消息以及执行其他相关的安全任务。

关于主动型威胁防护

主动型威胁防护包含 TruScan 主动型威胁扫描，可确保您的计算机得到针对未知威

胁的零时差攻击防护。这些扫描使用启发式技术来分析程序的结构、行为和其他属

性，判断是否有疑似病毒的特性。在很多情况下，它可以防御各种威胁，例如群发

邮件蠕虫和宏病毒。您可能会在更新病毒及安全风险定义之前遇到蠕虫和宏病毒。

主动型威胁扫描会在 HTML、VBScript 和 JavaScript 文件中查找基于脚本的威胁。

主动型威胁扫描也可以检测可能用于恶意目的的商业应用程序。这些商业应用程序

包括远程控制程序或击键记录程序。

您可以配置主动型威胁扫描来隔离检测到的项目，可以手动还原主动型威胁扫描所

隔离的项目。客户端还可以自动还原已隔离的项目。

Symantec Endpoint

Protection 客户端基础篇

关于病毒和安全风险

Symantec Endpoint Protection 客户端可以同时扫描病毒和安全风险，如间谍软件

或广告软件。这些风险可能会将计算机和网络置于危险之中。防病毒和防间谍软件

扫描也会检测内核级的 Rootkit。Rootkit 是任何试图在计算机操作系统藏匿的程

序，可能会被用于恶意的企图。

默认情况下，所有防病毒和防间谍软件扫描（包括自动防护扫描）都会检查病毒、

特洛伊木马、蠕虫和各种安全风险。

表 5-1 说明病毒和安全风险的类型。

表 5-1 病毒和安全风险

在默认情况下，防病毒和防间谍软件扫描会进行下列操作：

■

检测、删除和修复病毒、蠕虫、特洛伊木马和混合型威胁的负面影响。

■

检测、删除和修复广告软件、拨号程序、黑客工具、玩笑程序、远程访问程序、

间谍软件、跟踪软件等安全风险的负面影响。

Symantec 安全响应中心网站可提供有关威胁和安全风险的最新信息。该网站还包

含大量的参考信息，如白皮书和有关病毒及安全风险的详细信息。

图 5-1 显示了有关黑客工具以及 Symantec 安全响应中心所建议的处理方式的信息。

Symantec Endpoint Protection 客户端基础篇41

关于病毒和安全风险

图 5-1 Symantec 安全响应中心安全风险说明

客户端响应病毒和安全风险的方式

客户端可保护计算机免受来自任何来源的病毒和安全风险的感染。无论病毒和安全

风险是通过硬盘驱动器、软盘还是其他网络途径进行传播，都能保护计算机不受其

侵害。还可以保护计算机免受通过电子邮件附件或其他方式传播的病毒和安全风险

的侵害。例如，在您访问 Internet 时，安全风险可能在您不知情的情况下将其自身

安装在您的计算机上。

扫描和清除压缩文件的病毒和安全风险。对基于 Internet 传播的病毒不必单独更改

程序或选项。自动防护可在下载未压缩的程序和文档文件时自动对其进行扫描。

当客户端检测到病毒时，在默认情况下客户端会试图清除受感染文件中的病毒。客

户端也会试图修复病毒的影响。如果客户端清除文件，客户端会完全将风险从您的

计算机中删除。如果客户端不能清除文件，客户端会将受感染的文件转至隔离区。

病毒不能从隔离区扩散感染。

当使用新病毒定义更新计算机时，客户端会自动检查隔离区。您可以重新扫描隔离

区中的项目。最新的定义可能会清除或修复先前隔离的文件。

------------------------------------------------------------------------------------

注意：管理员可以选择自动扫描隔离区中的文件。

------------------------------------------------------------------------------------

在默认情况下，客户端会针对安全风险隔离受感染的文件。客户端还会返回有关安

全风险已更改为先前状态的系统信息。某些安全风险在不导致计算机上其他程序

（如 Web 浏览器）损坏的情况下，无法彻底删除。您的防病毒和防间谍软件设置可

能不会自动处理风险。此时，客户端会在停止某个进程或重新启动计算机之前提示

您。另外，还可以配置设置以对安全风险只使用“仅记录”操作。

当客户端软件发现安全风险时，会在扫描窗口中包含指向 Symantec 安全响应中心

的链接。在 Symantec 安全响应中心网站，您可以了解更多有关安全风险的信息。

系统管理员也可能会发送一条自定义消息。

启用和禁用防护组件

您可以在计算机上启用或禁用防护。

任何防护被禁用后，状态页面最上方的状态栏会指示该防护已关闭。您可以单击

“修复”选项来启用所有已禁用的防护。或者，您可以分别启用个别防护。

启用和禁用防病毒和防间谍软件防护

如果您尚未更改默认选项设置，自动防护会在计算机启动时加载以便抵御病毒和安

全风险。自动防护会在程序运行时检查其是否带有病毒或安全风险。它也会监控您

计算机上任何可能指示有病毒或安全风险存在的活动。当检测到病毒、类病毒活动

（可能是病毒活动的事件）或安全风险时，自动防护会发出警报。

您可以启用或禁用文件和进程的自动防护。您也可以启用或禁用 Internet 电子邮件

的自动防护以及电子邮件组软件应用程序的自动防护。在受管环境中，您的管理员

可以锁定这些设置。

可能要禁用自动防护的情况

在某些情况下，自动防护所警告的类病毒活动可能是您已知的非病毒活动。例如，

您在安装新的计算机程序时，就可能会看到警告。如果您要安装更多应用程序，但

要避免生成警告，可以暂时禁用自动防护。在完成任务后务必要启用自动防护以确

保计算机的安全。

如果禁用自动防护，其他类型的扫描（调度或启动扫描）仍会依照您或管理员的配

置运行。

管理员可能会锁定自动防护，让您不能任意禁用它。相反地，管理员也可能会指定

您可以暂时禁用自动防护，但在指定的一段时间过后，自动防护就会自动启用。

关于自动防护以及防病毒和防间谍软件防护状态

自动防护设置会决定客户端和 Windows 通知区域中的防病毒和防间谍软件防护状

态。

当禁用任何类型的自动防护时，防病毒和防间谍软件状态在状态页面上显示成红

色。

客户端图标会在 Windows 桌面右下角的任务栏中显示为完整的盾牌。在某些配置

中，图标不会出现。当右键单击图标时，若已启用文件和进程的自动防护，“启用

自动防护”旁会出现一个复选标记。

当禁用文件和进程的自动防护时，客户端图标会显示常见的禁止符号，即红色圆圈

中间带一条斜线。“文件系统自动防护”启用时，即使电子邮件的自动防护已经禁

用，图标也会出现绿点。

启用或禁用文件系统自动防护

您可以启用或禁用自动防护监控文件系统，但前提必须是管理员没有锁定设置。

从任务栏启用和禁用文件系统自动防护

◆

在 Windows 桌面的通知区域中，右键单击客户端图标，然后执行下列操作之

一：

■

单击“启用 Symantec Endpoint Protection”。

■

单击“禁用 Symantec Endpoint Protection”。

从客户端启用或禁用文件系统自动防护

◆

在客户端的“状态”页面上，在“防病毒和防间谍软件防护”旁执行下列操作

之一：

■

单击“选项”>“启用防病毒和防间谍软件防护”。

■

单击“选项”>“禁用防病毒和防间谍软件防护”。

启用或禁用电子邮件的自动防护

您可以启用或禁用 Internet 电子邮件、Microsoft Outlook 电子邮件或 Lotus Notes

电子邮件的“自动防护”。管理员可能会锁定这些设置。

启用或禁用电子邮件的自动防护

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 执行下列操作之一：

■

在“Internet 电子邮件自动防护”选项卡上，选中或取消选中“启用 Internet

电子邮件自动防护”。

■

在“Outlook 自动防护”选项卡上，选中或取消选中“启用 Microsoft

Outlook 自动防护”。

■

在“Notes 自动防护”选项卡上，选中或取消选中“启用 Lotus Notes 自动

防护”。

4 单击“确定”。

启用和禁用网络威胁防护

在某些情况下，您可能想要禁用网络威胁防护。例如，您可能想要安装一个应用程

序，但如果不禁用网络威胁防护，客户端可能会禁止该应用程序。

您可以禁用防护的时机与时间长短可以设置了以下限制：

■

客户端允许所有通信或只允许所有传出通信。

■

禁用防护的时间长度。

■

在重新启动客户端之前，可以禁用防护的次数。

如果您可以禁用防护，就可以随时重新启用。

启用或禁用网络威胁防护

◆

在客户端上，在“状态”页面的“网络威胁防护”旁，执行以下操作之一：

■

单击“选项”>“启用网络威胁防护”。

■

单击“选项”>“禁用网络威胁防护”。

启用或禁用主动型威胁防护

启用“扫描特洛伊木马和蠕虫”和“扫描击键记录程序”设置时，会启用“主动型

威胁防护”。如果两项设置之一禁用，客户端就会将“主动型威胁防护”状态显示

为已禁用。

有关以下步骤中所使用选项的详细信息，您可以单击“帮助”。

启用或禁用主动型威胁防护

◆

在客户端上，在“状态”页面的“主动型威胁防护”旁，执行以下操作之一：

■

单击“选项”>“启用主动型威胁防护”。

■

单击“选项”>“禁用主动型威胁防护”。

通过 Windows 安全中心使用客户端

如果您在 Windows XP（已安装 Service Pack 2）上使用 Windows 安全中心 (WSC)

来监控安全状态，则可以在 WSC 中查看 Symantec Endpoint Protection 的状态。

表 5-2 显示了 WSC 中的防护状态报告。

表 5-2 WSC 防护状态报告

表 5-3 显示了 WSC 中的 Symantec Endpoint Protection 防火墙状态报告。

表 5-3 WSC 防火墙状态报告

---------------------------------------------------------------------------------------

注意：在 Symantec Endpoint Protection 中，默认情况下禁用 Windows 防火墙。

如果启用了多个防火墙，WSC 将报告已安装和启用了多个防火墙。

---------------------------------------------------------------------------------------

暂停和推迟扫描

使用暂停功能可以在扫描过程中随时停止扫描，并在另一时间恢复扫描。可以暂停

所启动的任何扫描。网络管理员将决定您是否可以暂停管理员调度的扫描。

对于网络管理员启动的调度扫描，可能也允许您推迟该扫描。如果管理员已启用了

推迟功能，则您可以将管理员调度的扫描推迟一定的时间。继续扫描时，会从头重

新开始。

如果您想要在短暂停止之后继续扫描，可暂停扫描。若推迟扫描的时间较长，请使

用推迟功能。

使用下列过程可暂停您或管理员启动的扫描。如果“暂停扫描”选项不可用，则表

示网络管理员已禁用了暂停功能。

---------------------------------------------------------------------------------------

注意：如果您在客户端扫描压缩文件时暂停扫描，客户端可能要几分钟后才能响应

暂停请求。

---------------------------------------------------------------------------------------

暂停扫描

1 当运行扫描时，在扫描对话框中，单击暂停图标。

若是您启动的扫描，扫描会停在当前的阶段，而且此扫描对话框会一直保持为

打开状态，直至您再次启动扫描。

2 在此扫描对话框中，单击开始图标以继续扫描。

管理 Antivirus and

Antispyware Protection

关于防病毒和防间谍软件防护

Symantec Endpoint Protection 客户端包括适用于多数用户的默认防病毒和防间谍

软件设置。您可以更改设置，自定义安全网络的设置。您也可以自定义自动防护扫

描、调度扫描、启动扫描和按需扫描的策略设置。

防病毒和防间谍软件设置包括下列设置：

■

扫描内容

■

检测到病毒或安全风险时采取的操作

关于扫描文件

默认情况下，防病毒和防间谍软件扫描会扫描所有文件类型。调度扫描、启动扫描

和按需扫描默认也会检查所有文件类型。

您可以选择根据扩展名扫描文件，但是这会降低病毒和安全风险的防护能力。如果

您选择了要扫描的文件扩展名，则即使病毒更改文件的扩展名，自动防护也可以确

定文件的类型。

您还可以选择将特定文件从扫描中排除。例如，您可能知道某个文件不会在扫描时

触发病毒警报。您可以将该文件从后续的扫描中排除。

如果电子邮件应用程序使用单个收件箱文件

如果电子邮件应用程序将所有电子邮件存储在单个文件中，则您应该创建集中式例

外，才不会扫描收件箱文件。Outlook Express、Eudora、Mozilla 或 Netscape 都

是将所有电子邮件存储在单个收件箱文件中的电子邮件应用程序。可以将客户端配

置为隔离它所检测到的病毒。如果客户端在收件箱文件中检测到病毒，客户端就会

隔离整个收件箱。如果客户端隔离收件箱，您就不能访问电子邮件。

Symantec 一般会建议您对文件进行扫描。然而，如果从扫描中排除收件箱文件，

则打开电子邮件时，客户端仍会检测病毒。打开某电子邮件时，如果客户端发现病

毒，则客户端会安全地隔离或删除该邮件。

您可以配置集中式例外，排除该文件。

关于根据扩展名扫描

客户端可根据扩展名扫描计算机。

可以选择下列类型的文件扩展名：

文档文件 包括 Microsoft Word 与 Excel 文档，以及与这些文档关联的模板文

件。客户端会搜索文档文件是否受宏病毒感染。

程序文件 包括动态链接库 (.dll)、批处理文件 (.bat)、命令文件 (.com)、可执行

文件 (.exe) 与其他程序文件。客户端会搜索程序文件是否受文件病毒

感染。

将文件扩展名添加到自动防护扫描的扫描列表

1

2

3

4

5

6

7

在客户端的边栏中，单击“更改设置”。

在“防病毒和防间谍软件防护”旁，单击“配置设置”。

在“防病毒和防间谍软件防护设置”对话框的“文件系统自动防护”选项卡

上，单击“文件类型”下的“所选类型”。

单击“扩展名”。

在文本框中，键入要添加的扩展名，然后单击“添加”。

根据需要重复步骤 5，然后单击“确定”。

单击“确定”。

将文件扩展名添加到按需扫描、调度扫描或启动扫描的扫描列表

1

2

3

在客户端的边栏中，单击“扫描威胁”。

右键单击要添加文件扩展名的扫描，然后选择“编辑”。

更改只应用于您选择的特定扫描。

在“扫描选项”选项卡的“文件类型”下，选择“所选的扩展名”，然后单击

“扩展名”。

4

键入要添加的扩展名，然后单击“添加”。

5

根据需要重复步骤 4，然后单击“确定”。

6

单击“确定”。

关于扫描所有文件类型

客户端可以扫描计算机上的所有文件，而不管其扩展名为何。扫描所有文件可以确

保提供最全面的防护。与按扩展名扫描相比，扫描所有文件耗时更多，但可提供更

好的防护，使您免遭病毒和安全风险的威胁。

关于排除扫描项目

您可以将客户端配置为排除扫描某个安全风险。您可能会想要排除扫描某个风险。

例如，在您工作时，可能需要使用某个广告软件。客户端可能不允许该广告软件。

如果贵公司的安全策略允许广告软件，您可以排除扫描该风险。

客户端可能会将文件标记为受感染，但该文件并没有包含病毒。可能会出现这种情

况，原因是特定的病毒定义旨在捕捉所有可能的病毒变种。由于病毒定义必须有一

定的广度，因此客户端有时会将干净的文件报告成受感染的文件。

如果防病毒和防间谍软件扫描一直将未感染病毒的文件误判为受到感染，您可将该

文件从扫描项目中排除。“排除项”就是不希望或不需要包括在扫描中的项目。

安全策略可能允许您运行客户端报告为风险的软件。在这种情况下，您可以排除包括该软件的文件夹。

使用集中式例外，可排除扫描的项目。此例外会应用到所有运行的防病毒和防间谍

软件扫描。您的管理员可能也会配置例外。管理员定义的例外，会优先于用户定义

的例外。

-------------------------------------------------------------------------------------

警告：排除文件时一定要谨慎。一旦将文件从扫描中排除，即使以后该文件感染了

病毒，客户端也不会对其采取清除病毒的操作。这就对计算机安全构成了潜在的威

胁。

-------------------------------------------------------------------------------------

关于防止宏病毒感染

客户端会自动检测并删除多数 Microsoft Word 与 Excel 宏病毒。如果定期运行调度

扫描，计算机就可以免受宏病毒感染。自动防护也会定期搜索和清除任何检测到的

宏病毒。

要最好地防止宏病毒感染，请执行以下操作：

■

启用自动防护。

自动防护会持续扫描访问过或修改过的文件。

为电子邮件运行自动防护（如果可用）。

通过禁用自动宏来保护您的全局模板文件。

■

■

Symantec Endpoint Protection 客户端检测到病毒或安全风险时

病毒和安全风险感染文件时，客户端会以不同的方式响应风险类型。对于各类风

险，客户端会先使用第一操作，如果第一操作失败，然后会使用第二操作。

默认情况下，客户端检测到病毒时，会先尝试清除受感染文件中的病毒。然后，如

果客户端不能清除文件，就会记录失败情况，并将受感染的文件移动到隔离区。

默认情况下，客户端检测到安全风险时，会将风险隔离。客户端也会尝试删除或修

复安全风险造成的任何更改。如果客户端不能隔离安全风险，它就会记录风险，并

使其不操作。

注意：在隔离区中，风险不会传播。如果客户端将文件移动到隔离区，您就不能访

问该文件。客户端也可以还原它所隔离项目的更改。

对于各扫描类型，您可以更改客户端处理病毒和安全风险方式的设置。对于各类别

的风险和个别安全风险，您可以设置不同的操作。

-------------------------------------------------------------------------------------

注意：在某些情况下，您可能会无意中安装了一个包含安全风险（如广告软件或间

谍软件）的应用程序。如果 Symantec 确定隔离风险不会损害计算机，则客户端就

会隔离风险。如果客户端立即隔离风险，则可能使计算机处于不稳定状态。因此，

客户端会先等待应用程序安装完成，再隔离风险。然后修复该风险的影响。

-------------------------------------------------------------------------------------

关于自动防护

自动防护是防御病毒攻击的最佳选择。每当您访问、复制、保存、移动或打开某文

件时，自动防护就会扫描该文件以确保病毒没有附加在该文件上。

自动防护会扫描包括可执行代码的文件扩展名和所有的 .exe 与 .doc 文件。即使病

毒更改了文件的扩展名，自动防护也可以确定该文件的类型。例如，病毒可能将文

件的扩展名更改为另一种扩展名，而这种扩展名与您配置自动防护应扫描的文件扩

展名不同。

关于自动防护和安全风险

在默认情况下，自动防护会执行下列操作：

■

扫描安全风险，如广告软件或间谍软件

■

隔离受感染的文件

■

删除或修复安全风险带来的负面影响

可以在自动防护中禁用安全风险扫描。

如果自动防护检测到某个进程不断将安全风险下载到您的计算机，便会显示通知并

记录检测。（自动防护必须配置为发送通知。）如果进程持续下载同一安全风险，

则计算机上会显示多次通知，且自动防护会记录多个事件。为避免多次通知和记录

多个事件，自动防护会在检测到此安全风险三次后，自动停止发送关于该安全风险

的通知。此外，自动防护在检测到同一事件三次后，也会停止记录该事件。

在某些情况下，自动防护不会停止发送安全风险的通知，也不会停止记录安全风险

事件。

在下列任一情况下，自动防护会不断发送通知并记录事件：

■

■

在客户端计算机上，您已禁用禁止安装安全风险（已启用默认设置）。

对进程下载的安全风险类型所采取的操作含有“不操作”的操作时。

关于自动防护和电子邮件扫描

自动防护也会扫描支持的组软件电子邮件客户端。

为以下电子邮件客户端提供防护：

■

Lotus Notes 4.5x、4.6、5.0 和 6.x

■

Microsoft Outlook 98/2000/2002/2003/2007（MAPI 和 Internet）

■

Microsoft Exchange Client 5.0 和 5.5

------------------------------------------------------------------------------------

注意：自动防护仅适用于支持的电子邮件客户端。它不会保护电子邮件服务器。

------------------------------------------------------------------------------------

通过监控使用 POP3 或 SMTP 通信协议的所有通信，防病毒和防间谍软件防护还为

其他 Internet 电子邮件程序提供自动防护扫描。您可以将客户端软件配置为扫描传

入和传出消息以检查是否含有风险。扫描传出电子邮件有助于防止威胁利用电子邮

件客户端通过网络自我复制与散布而达到传播的目的。

------------------------------------------------------------------------------------

注意：64 位计算机不支持 Internet 电子邮件扫描。

------------------------------------------------------------------------------------

针对 Lotus Notes 与 Microsoft Exchange 电子邮件的扫描，自动防护只扫描与电子

邮件关联的附件。

针对使用 POP3 或 SMTP 协议的 Internet 电子邮件扫描，自动防护会扫描下列项

目：

■

邮件的正文

■

邮件的任何附件

当您打开带附件的邮件时，只要满足以下条件，附件就会立即下载到计算机并进行

扫描：

■

使用 Microsoft Exchange 客户端或通过 MAPI 的 Microsoft Outlook。

■

已为电子邮件启用自动防护。

通过慢速连接下载包含大型附件的邮件会影响邮件性能。如果您经常接收大型附

件，最好禁用该功能。

------------------------------------------------------------------------------------

注意：如果在打开电子邮件时检测到病毒，则在自动防护完成对邮件的扫描后可能

需要几秒种的时间才能打开此邮件。

------------------------------------------------------------------------------------

电子邮件扫描不支持以下电子邮件客户端：

■

IMAP 客户端

■

AOL 客户端

■

基于 Web 的电子邮件，如 Hotmail、Yahoo！Mail 和 GMAIL

禁用加密电子邮件连接的自动防护处理

您可以通过安全链接来收发电子邮件。默认情况下，Internet 电子邮件自动防护支

持通过 POP3 与 SMTP 连接的加密密码及电子邮件。如果您将 POP3 或 SMTP 与安

全套接字层 (SSL) 配合使用，则客户端会检测安全连接，但不会扫描加密的邮件。

即使自动防护不会扫描使用安全连接的电子邮件，它仍会继续保护计算机不受附件

所含风险的威胁。自动防护在您将电子邮件附件保存到硬盘驱动器时扫描附件。

注意：由于性能原因，服务器操作系统不支持 POP3 的 Internet 电子邮件自动防

护。

如有必要，您可以禁用对加密电子邮件的处理。禁用这些选项后，自动防护会扫描

发送或接收的未加密电子邮件，但会禁止加密电子邮件。如果您启用这些选项，然

后试图发送加密电子邮件，则只有重新启动电子邮件应用程序，自动防护才不会禁

止该电子邮件。

------------------------------------------------------------------------------------

注意：如果您针对自动防护禁用加密连接，则这项更改会在您注销 Windows 并再

次登录后才会生效。如果所做的更改必须立即生效，请注销后再登录。

------------------------------------------------------------------------------------

禁用加密电子邮件连接的自动防护处理

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 在“Internet 电子邮件自动防护” 选项卡上，单击“高级”。

4 在“连接设置”下方，取消选中“允许加密的 POP3 连接”及“允许加密的

SMTP 连接”。

5 单击“确定”。

查看自动防护扫描统计信息

“自动防护扫描统计信息”显示上次自动防护扫描的情形、扫描过的最后一个文

件、病毒感染情况以及安全风险信息。

查看自动防护扫描统计信息

◆

在客户端的“状态”页面，单击“防病毒和防间谍软件防护”旁边的“选项”

> “查看文件系统自动防护统计信息”。

查看风险列表

您可以查看“防病毒和防间谍软件防护”检测到的当前风险。该列表是根据您当前

的病毒定义创建的。

查看风险列表

◆

在客户端“状态”页的“防病毒和防间谍软件防护”旁，单击“选项”>“查

看威胁列表”。

配置自动防护以确定文件类型

自动防护预设为扫描所有文件。如果只扫描具有选定扩展名的文件，它可以更快地

完成扫描。

例如，您可能只想要扫描下列扩展名：

■

.exe

■

.com

■

.dll

■

.doc

■

.xls

病毒通常只对某些类型的文件有影响。但是，如果只扫描特定扩展名，防护力会降

低，因为自动防护不会扫描所有文件。默认的扩展名列表表示那些通常较易感染病

毒的文件类型。

自动防护会扫描包括可执行代码的文件扩展名和所有的 .exe 与 .doc 文件。即使病

毒更改了文件的扩展名，自动扫描也可以确定该文件的类型。例如，即使病毒更改

了 .doc 文件的扩展名，它仍可扫描该文件。

为确保计算机获得最佳防护，免受病毒和安全风险的威胁，应该将自动防护配置为

扫描所有文件类型。

配置自动防护以确定文件类型

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 在“自动防护”选项卡的“文件类型”下，执行下列操作之一：

■

单击“所有类型”，以扫描所有文件。

■

单击“所选类型”以便只扫描与列出的文件扩展名匹配的文件，然后单击

“扩展名”以更改默认的文件扩展名列表。

4 如果选择了“所选类型”，请选中或取消选中“通过检查文件内容确定文件类

型”。

5 单击“确定”。

禁用和启用自动防护安全风险扫描与禁止

在默认情况下，自动防护会执行下列操作：

■

扫描安全风险，如广告软件或间谍软件

■

隔离受感染的文件

■

试图删除或修复安全风险所造成的影响

如果禁止安装安全风险不会影响计算机的稳定性，则在默认情况下，自动防护还会

禁止此类安装。如果 Symantec 判定禁止安全风险可能会损及计算机稳定性，则自

动防护会允许安装该风险。自动防护也会立即采取对该风险所配置的操作。

但有时候，您可能暂时需要禁用自动防护文件扫描中的安全风险扫描，然后再重新

启用。此外，您还可能需要禁用禁止安全风险功能，以控制自动防护对特定安全风

险做出响应的时间。

禁用或启用自动防护安全风险扫描与禁止

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 在“文件系统自动防护”选项卡的“选项”下，执行下列操作之一：

■

选中或取消选中“扫描安全风险”。

■

选中或取消选中“禁止安装安全风险”。

■

选中或取消选中“扫描网络驱动器上的文件”。

4 单击“确定”。

配置网络扫描设置

配置网络扫描包括下列选项：

■

配置自动防护是否信任运行自动防护的远程计算机上的文件。

■

指定计算机是否应该使用高速缓存来存储自动防护扫描网络文件的记录。

默认情况下，自动防护会在文件从您的计算机写入远程计算机时对其进行扫描。自

动防护也会在文件从远程计算机写入您的计算机时对其进行扫描。

但是，当您读取远程计算机上的文件时，自动防护可能不会扫描这些文件。默认情

况下，自动防护会试图信任自动防护的远程版本。如果两台计算机都启用信任选

项，则本地自动防护会检查远程计算机的自动防护设置。如果远程自动防护设置提

供的安全等级不低于本地设置，本地自动防护就会信任远程自动防护。当本地自动

防护信任远程自动防护时，本地自动防护不会扫描从远程计算机上读取的文件。因

为，本地计算机相信远程自动防护已扫描过文件。

------------------------------------------------------------------------------------

注意：对于从远程计算机复制的文件，本地自动防护一律都会扫描。

------------------------------------------------------------------------------------

信任选项会默认为启用。如果您禁用信任选项，网络性能可能会降低。

禁用对自动防护远程版本的信任

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 在“文件系统自动防护”选项卡上，单击“高级”。

4 在“自动防护高级选项”对话框中，单击“其他高级选项”下方的“网络”。

5 在“网络扫描设置”下方，取消选中“信任运行自动防护的远程计算机上的文

件”。

6 单击“确定”直到返回主窗口。

您可以将计算机配置为使用网络高速缓存。网络高速缓存会存储自动防护扫描

远程计算机的文件的记录。如果使用网络高速缓存，自动防护就不会重复扫描

相同的文件。不重复扫描相同的文件，系统性能可能会获得改善。您可以设置

自动防护将扫描并记住的文件（条目）数。也可以设置超时多久之后，让计算

机将条目从高速缓存中删除。只要超过超时时间，计算机就会删除条目。如果

您再次从远程计算机请求那些文件，则自动防护会再次扫描文件。

配置网络高速缓存

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 在“防病毒和防间谍软件设置”对话框中，单击“文件系统自动防护”选项卡

上的“高级”。

4 在“自动防护高级选项”对话框中，单击“其他高级选项”下方的“网络”。

5 在“网络扫描设置”对话框中，选中或取消选中“网络高速缓存”。

6 如果启用了网络高速缓存，请使用默认值，或执行下列任一操作：

■

使用箭头选择或键入您希望自动防护扫描并记住的文件（条目）数。

■

键入秒数，表示您希望条目在计算机清除高速缓存前保留在高速缓存中的

时间。

7 单击“确定”直到返回主窗口。

进行防病毒和防间谍软件扫描

自动防护是最有效的对病毒感染和安全风险的防御。除了自动防护之外，防病毒和

防间谍软件防护还包括不同类型的扫描，可提供更进一步的防护。

表 6-1 说明可用的扫描

只要启用自动防护，每日活动扫描和每周一次针对所有文件的调度扫描就会提供充

分防护。如果病毒经常攻击您的计算机，请考虑增加启动时全面扫描或每天调度扫

描。

您也可以配置查找可疑行为而非已知风险的扫描频率。

Symantec Endpoint Protection 客户端检测病毒和安全风险的方式

客户端通过扫描计算机的引导扇区、内存以及文件中的病毒和安全风险来防止病毒

感染计算机。扫描引擎会利用定义文件中所找到的病毒和安全风险特征，进行彻底

扫描，查找可执行文件中的任何已知病毒。防病毒和防间谍软件扫描会搜索文档文

件的可执行部分，查找是否有宏病毒。

您可以执行按需扫描，也可以在离开办公桌时执行调度扫描。

表 6-2 说明客户端会扫描的计算机组件。

表 6-2 客户端扫描的计算机组件

关于定义文件

病毒文件包括任意位的代码，若被破解，就会显示某种模式。可在受感染的文件中

跟踪这些模式。模式也称为特征。安全风险（如广告软件和间谍软件）也具有可识

别的特征。

定义文件包括已知病毒特征及已知安全风险特征的列表，但不包括有害的病毒代

码。扫描软件会在计算机的文件中搜索是否有列在定义文件中的已知特征。如果找

到匹配的病毒，则表示文件已感染了病毒。客户端将使用定义文件确定导致感染的

病毒并修复其产生的副作用。如果发现安全风险，客户端会使用定义文件隔离它，

并修复其副作用。

新型的病毒和安全风险层出不穷，您应该确保计算机拥有最新的定义文件，应该确

保客户端可检测并清除最新的病毒和安全风险。

关于扫描压缩文件

防病毒和防间谍软件扫描会对压缩文件的内部进行扫描。例如，扫描会对 .zip 文件

中包括的文件进行扫描。管理员可以指定对包含压缩文件的压缩文件进行深达 10

级的扫描。有关受支持的压缩文件扫描类型，请咨询您的管理员。

如果已启用自动防护，则会扫描压缩文件中的任何文件。

启动按需扫描

您可以随时手动扫描病毒和安全风险，如广告软件和间谍软件。选择的扫描范围可

以从单一文件到软盘直至整个计算机。按需扫描包括活动扫描与全面扫描。您也可

以创建按需运行的自定义扫描。

有关以下步骤中各选项的详细信息，您可以单击“帮助”。

从 Windows 启动扫描

◆

在“我的电脑”或 Windows 资源管理器窗口中，右键单击某个文件、文件夹

或驱动器，然后单击“扫描病毒”。

64 位操作系统不支持该功能。

从客户端启动扫描

◆

执行下列操作之一：

■

在客户端“状态”页面的“防病毒和防间谍软件防护”旁，单击“选

项”>“运行活动扫描”。

■

在客户端的边栏中，单击“扫描威胁”。

执行下列操作之一：

■

在“活动扫描”下，单击“活动扫描”。

■

在“全面扫描”下，单击“全面扫描”。

■

在扫描列表中，右键单击任何扫描，然后单击“立即扫描”。

随即会开始扫描。计算机上会出现进度窗口，显示扫描的进度和结果。

配置防病毒和防间谍软件扫描

可以配置多个不同类型的扫描以防计算机感染病毒和安全风险。

创建调度扫描

调度扫描是威胁和安全风险防护功能的重要组成部分。您应该调度扫描至少每周运

行一次，才能确保计算机不受病毒和安全风险威胁。创建新扫描时，扫描会出现在

“扫描威胁”窗口的扫描列表中。

当发生调度扫描时，计算机必须是打开的，并且已经加载了 Symantec Endpoint

Protection 服务。默认情况下，会在启动计算机时加载 Symantec Endpoint

Protection 服务。

有关以下步骤中所使用选项的详细信息，您可以单击“帮助”。

创建调度扫描

1

在客户端的边栏中，单击“扫描威胁”。

2

单击“创建新扫描”。

3

在“要扫描的内容”对话框中，从下列类型中选择一种扫描进行调度：

活动扫描计算机中最常受病毒和安全风险感染的区域。

全面扫描整个计算机是否有病毒和安全风险。

自定义扫描计算机中所选区域是否有病毒和安全风险。

4

单击“下一步”。

5

如果您选择“自定义”，请选中适当的复选框，指定要扫描的位置。

符号的说明如下：

6

单击“下一步”。

7

在“扫描选项”对话框中，可以执行下列任一操作：

■

更改扫描内容的默认设置。

默认设置是扫描所有文件。

■

指定检测到病毒或安全风险时客户端的响应方式。

默认情况下，客户端会清除受感染文件中的病毒，然后修复任何副作用。

如果客户端不能删除病毒，就会将文件隔离。

默认情况下，客户端会隔离安全风险，并消除或修复任何副作用。如果客

户端不能隔离并修复风险，客户端就会记录该事件。

8

在“扫描增强”下，选中任一位置。

9

单击“高级”。

10

设置以下任意选项：

■

压缩文件选项

■

备份选项

■

对话框选项

■

优化选项

■

存储迁移选项

11 在“对话框选项”下的下拉列表中，单击“显示扫描进程”，然后单击“确

定”。

12 在“扫描选项”对话框中，您也可以更改下列选项：

13 单击“下一步”。

14 在“扫描的时间”对话框中，单击“在指定时间”，然后单击“下一步”。

15 在“调度”对话框中，指定扫描的频率和时间。

16 单击“高级”。

17 在“高级调度选项”对话框中，执行以下操作：

■

选中“重试未执行的扫描”，然后在“重试扫描前等候的天数上限”字段

中指定值。

例如，对于遗漏执行的事件，您可能希望仅在调度时间的三天内运行每周

扫描。

■

选中或取消选中“即使没有用户登录，也执行此扫描”。

如果用户已登录，则无论此设置如何，都将始终运行用户定义的扫描。

18 单击“确定”。

19 在“调度”对话框中，单击“下一步”。

20 在“扫描名称”对话框中，键入扫描的名称和说明。

例如，调用扫描：星期五早上

21 单击“完成”。

关于创建多个调度扫描

如果您在同一台计算机上调度运行多个扫描，且扫描的开始时间都相同，则扫描会

连续运行。一个扫描操作完成后，再开始另一个。例如，您可能在计算机上排定三

种不同的扫描于下午 1:00 运行。每种扫描会扫描不同的驱动器。一个会扫描驱动器

C，另一个扫描驱动器 D，第三个扫描驱动器 E。在这个示例中，较好的解决方案

是：创建一个调度扫描来扫描驱动器 C、D 和 E。

创建按需扫描和启动扫描

除了调度扫描外，某些用户增加了在启动计算机或登录时执行的自动扫描。通常，

“启动扫描”仅限用于重要、高风险的文件夹，例如 Windows 文件夹和存储

Microsoft Word 和 Excel 模板的文件夹。

--------------------------------------------------------------------------------------

注意：如果创建了多个启动扫描，则这些扫描将按创建它们的顺序依次运行。

--------------------------------------------------------------------------------------

防病毒和防间谍软件防护还包括名为“自动生成的活动扫描”的启动扫描。用户一

登录计算机，自动生成的扫描就会检查计算机上经常感染的区域。您也可以按照配

置任何按需扫描时所采用的方式来编辑这类扫描。然而，您不能禁用针对计算机内

存和其他常见感染区域中的文件进行的扫描。

如果经常扫描同一组文件或文件夹，则可以创建一个限制在这些项目范围之内的扫

描。您随时都可以快速验证这些指定的文件和文件夹是否受到病毒和安全风险的侵

害。

按需扫描必须手动操作才能启动。

有关以下步骤中所使用选项的详细信息，您可以单击“帮助”。

创建按需扫描或启动扫描

1 在客户端的边栏中，单击“扫描威胁”。

2 单击“创建新扫描”。

3 单击“下一步”。

4 在“要扫描的内容”对话框中，从下列类型中选择一种扫描进行调度：

■

活动

■

全面

■

自定义

5 单击“下一步”。

6 如果选定“自定义”，请在“选择文件”对话框中选中需要扫描的相应文件和

文件夹。

符号的说明如下：

7 单击“下一步”。

8 在“扫描选项”对话框中，可以执行下列任一操作：

■

更改扫描内容的默认设置。

默认设置是扫描所有文件。

■

指定检测到病毒或安全风险时客户端的响应方式。

默认情况下，客户端会清除受感染文件中的病毒，然后修复任何副作用。

如果客户端不能删除病毒，就会将文件隔离。

默认情况下，客户端会隔离安全风险，并消除或修复任何副作用。如果客

户端不能隔离并修复风险，客户端就会记录该事件。

9 在“扫描增强”下，选中任一位置。

10 单击“高级”。

11 在“高级扫描选项”对话框中，可以设置下列任一选项：

■

压缩文件选项

■

备份选项

■

对话框选项

■

优化选项

■

存储迁移选项

12 在“对话框选项”下的下拉列表中，单击“显示扫描进程”，然后单击“确

定”。

13 配置完高级选项后，单击“确定”。

14 您也可以更改下列选项：

■

操作：更改在发现病毒和安全风险时要采取的第一操作和第二操作。

■

通知：编写发现病毒或安全风险时要显示的消息。您也可以配置执行补救

操作前是否要收到通知。

■

集中式例外：创建扫描的例外。

15 完成配置扫描选项之后，单击“确定”。

16 在“运行扫描的时间”对话框中，执行下列其中一个操作：

■

单击“按需”。

■

单击“启动时”。

17 在“扫描选项”对话框中，单击“下一步”。

18 键入扫描的名称和说明。

例如，调用扫描：MyScan1

19 单击“完成”。

编辑和删除启动扫描、用户定义的扫描和调度扫描

您可以编辑和删除现有的启动扫描、用户定义的扫描和调度扫描。某些选项在无法

针对特定类型的扫描进行配置的情况下可能不可用。

编辑扫描

1 在客户端的边栏中，单击“扫描威胁”。

2 在扫描列表中，右键单击所要编辑的扫描，再单击“编辑”。

3 在“要扫描的内容”、“选项”和“常规”选项卡上进行所需的更改。

对于调度扫描，您还可以修改调度。

4 单击“确定”。

删除扫描

1 在客户端的边栏中，单击“扫描威胁”。

2 在扫描列表中，右键单击要删除的扫描，再单击“删除”。

3 在“确认删除”对话框中，单击“是”。

解释扫描结果

每当运行按需扫描、调度扫描、启动扫描或用户定义的扫描时，客户端软件默认会

显示扫描进度对话框以报告进度。此外，自动防护可以在每次检测到病毒或安全风

险时，都显示结果对话框。您可以禁用这些通知。

如果客户端在扫描期间检测到风险，扫描进度对话框会显示含有下列信息的结果：

■

受感染文件的名称

■

病毒或安全风险的名称

■

客户端对风险所执行的操作

默认情况下，每当检测到病毒或安全风险时，您都会收到通知。

--------------------------------------------------------------------------------------

注意：运行客户端的操作系统语言可能不能转译病毒名称中的某些字符。如果操作

系统不能转译某些字符，这些字符会在通知中显示为问号。例如，某些 Unicode 病

毒名称可能含有全角字符。在英语版操作系统上运行客户端的计算机上，这些字符

会变成问号。

--------------------------------------------------------------------------------------

如果将客户端软件配置为显示扫描进度对话框，则可以暂停、重新启动或停止扫

描。当扫描完成时，结果将出现在列表中。如果未检测到病毒或安全风险，则列表

将保留为空，且状态为已完成。

关于与扫描结果或自动防护结果的交互

扫描进度对话框和自动防护结果对话框有类似的选项。如果客户端需要终止进程、

应用程序或停止服务，则“删除风险”选项将处于活动状态。对话框中的风险请求

采取操作时，您可能不能关闭对话框。

表 6-3 说明选项和结果对话框。

如果需要重新启动，删除或修复会在重新启动计算机后才完成。

您可能需要对风险采取操作，但可以选择稍后再执行操作。

可使用下列方式稍后删除或修复风险：

■

可以打开风险日志，右键单击风险，然后执行操作。

■

可以运行扫描以检测风险并重新打开结果对话框。

可以通过右键单击对话框中的风险，然后选择一项操作来执行操作。您可以执行的

操作取决于已针对扫描检测到的特定风险类型所配置的操作。

将防病毒和防间谍软件扫描的信息提交到Symantec安全响应中心

您可以指定将有关自动防护或扫描检测率的信息自动发送到 Symantec 安全响应中

心。有关检测率的信息可帮助 Symantec 优化病毒定义更新。检测率会显示大部分

都是由客户检测到的病毒和安全风险。Symantec 安全响应中心可删除未检测的特

征，并且将分段特征列表提供给需要它的客户。分段列表可提升防病毒和防间谍软

件扫描的性能。

提交检测率默认为启用。

您也可以将隔离区中的项目提交到 Symantec。

将有关防病毒和防间谍软件扫描的信息提交到 Symantec 安全响应中心

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

3 在“提交”选项卡上，选中“自动提交防病毒和安全风险检测结果”。

4 单击“确定”。

配置针对病毒和安全风险的操作

您可以配置当 Symantec Endpoint Protection 客户端检测到病毒或安全风险时，希

望它采取的操作。可以配置第一操作以及在第一操作失败时执行的第二操作。

对任何类型的扫描，配置操作的方式都相同。每种扫描都有其自己的操作配置。可

以针对不同的扫描，配置不同的操作。

可以单击“帮助”获取以下步骤中所用选项的详细信息。

配置针对病毒和安全风险的操作

1 在客户端的边栏中，单击“更改设置”。

2 在“防病毒和防间谍软件防护”旁，单击“配置设置”。

管理 Antivirus and Antispyware Protection 69

将防病毒和防间谍软件扫描的信息提交到 Symantec 安全响应中心

3 在“文件系统自动防护”选项卡上，单击“操作”。

4 在“扫描操作”对话框的树中，选择一种病毒或安全风险。

在默认情况下，每个安全风险子类别都会自动配置为使用整个安全风险类别所

设置的操作。

5 要将类别或类别的特定实例配置为使用不同的操作，请选中“覆盖为安全风险

配置的操作”，然后只为该类别设置操作。

6 从下列选项中选择第一操作和第二操作：

7 您可以针对您想要设置特定操作的每个类别，重复步骤 1 和 6，然后单击“确

定”。

8 如果选定某个安全风险类别，则可以针对该安全风险类别的一个或多个特定实

例选择自定义操作。您可以从扫描中排除某个安全风险。例如，您可能想要排

除某个广告软件，因为工作时会用到它。

9 单击“确定”。

指定针对病毒的第二操作的提示

选择针对病毒的第二操作时，请注意以下事项：

计算机上文件的管理方式

如果将重要的文件存储在计算机而未备份， 就不应该使用“删除

风险”操作。虽然使用此方式可删除病毒，但也可能损失重要数

据。

另一个应该考虑的事项是系统文件。 病毒通常攻击可执行文件。可使用“不操作 (仅记录)”或“隔离风险”操作来检查哪些文件已受感染。 例如，病毒可能攻击 。如果客户端不能清除感染，您也许不能还原文件。 该文件对于系统很重要。您可以使用“不操作”操作，以确保可以访问该文件。

已感染计算机的病毒的类型

不同类型病毒的目标会锁定计算机中不同的区域来感染。 引导型

病毒会感染引导扇区、分区表、主引导记录，有时会感染内存。 当

引导型病毒分成多个部分时，也可能会感染可执行文件，而且这

种感染的处理方式与文件型病毒类似。 文件型病毒通常会感染具

有.exe、.com 或 .dll 扩展名的可执行文件。 宏病毒会感染文档

文件以及与这些文档相关的宏。 依照可能需要恢复的文件类型来

选定操作。

所有扫描将自动执行操作，而无需您的同意。 如果在扫描前没有更改操作，则使用默认的操作。 因此，默认的第二操作旨在提供控制病毒爆发情形的能力。 若是自动运行的扫描，例如调度扫描和自动防护扫描，请勿指定具有永久效果的第二操作。 例如，您可能会在已知文件受感染时执行按需扫描。 您可以将“删除风险”和“清除风险”操作限制为此类按需扫描。

在计算机上运行的扫描类型

指定针对安全风险的第二操作的提示

选择针对安全风险的第二操作时，请考虑需要针对文件拥有的控制级别。如果在计

算机上存储了重要文件，而没有备份它们，则不应使用“删除风险”操作。即使您

可以通过这种方法删除安全风险，也可能导致计算机上的其他应用程序停止运行。

请改用“隔离风险”操作，以便在必要时可以恢复客户端所做的更改。

关于风险影响评级

Symantec 会评估安全风险以确定它会对计算机产生何种程度的影响。

以下因素的评级有低、中或高：

■

隐私影响

■

性能影响

■

隐密性

■

删除难度

评级为低的因素，表示影响轻微。评级为中的因素，表示有一定的影响。评级为高

的因素，表示在这方面影响显著。如果尚未对某一特定安全风险进行评估，则会显

示默认的评级。如果已经对安全风险进行评估，但进行评级的因素并不适用于该风

险，则该因素的评级将显示为“无”。

当您为已知安全风险配置集中式例外时，这些评级会显示在“安全风险例外”对话

框中。可以使用这些评级来帮助您确定希望将哪些安全风险从扫描中排除，并允许

它们保留在计算机上。

表 6-4 介绍了各个评级因素及其较高评级的含义。

配置针对病毒和安全风险的通知

默认情况下，当扫描发现病毒或安全风险时您将收到通知。此外，当扫描软件需要

终止服务或停止进程时，也默认会发出通知。扫描软件可能也需要删除或修复病毒

或安全风险的作用。

可以配置下列扫描通知：

撰写当客户端在计算机上发现病毒或安全风险时 要显示的消息。

配置 文件系统自动防护时，可以选择一个附加选项以显示 对话框。

该对话框会包含自动防护在计算机上查找风险的结果。

检测选项

配置客户端发现病毒或安全风险时是否通知您。也可以在客户端需

要终止进程或停止服务以删除或修复风险时给您发出通知。

补救选项

您可以撰写希望在计算机上显示的检测消息。若要撰写消息，请直接在消息字段中

键入。您可以右键单击消息字段来选择要包括在消息中的变量。

表 6-5 介绍了可用于通知消息的变量字段。

可以针对用户定义的扫描和自动防护配置通知。通知配置包括补救选项。补救选项

仅适用于扫描和文件系统自动防护。

可以单击“帮助”获取以下步骤中所用选项的详细信息。

配置针对病毒和安全风险的通知

1 执行下列操作之一：

■

对于新扫描，请在“扫描选项”对话框中，单击“通知”。

■

对于现有扫描，请在“扫描选项”选项卡上单击“通知”。

■

对于自动防护，请在“防病毒和防间谍软件防护设置”对话框中，单击任

一“自动防护”选项卡上的“通知”。

2 在“通知选项”对话框的“检测选项”下方，选中“在受感染的计算机上显示

通知消息”。如果希望扫描在发现病毒或安全风险时，计算机上会显示消息，

请选中此选项。

3 在消息框中，执行以下任一或所有操作以创建所需的消息：

■

单击以键入或编辑文本。

■

右键单击，再单击“插入字段”，然后选择要插入的变量字段。

■

右键单击，然后选择“剪切”、“复制”、“粘贴”、“清除”或“撤

消”。

4 对于自动防护配置，请选中或取消选中“显示自动防护结果对话框”。

此参数会显示或屏蔽含有文件系统自动防护发现病毒和安全风险时运行结果的

对话框。

5 在“补救选项”下方，选中要针对扫描或文件系统自动防护设置的选项。可以

使用下列选项：

自动终止进程 将扫描配置为在需要终止进程以删除或修复病毒或安全风险时

自动终止进程。扫描终止进程之前，系统不会提示用户保存数

据。

自动停止服务 将扫描配置为在需要停止服务以 删除或修复病毒或安全风险

时自动停止服务。扫描停止服务之前， 系统不会提示用户保

存数据。

6 单击“确定”。

针对防病毒和防间谍软件扫描配置集中式例外

集中式例外是指您要从扫描中排除的项目，如特定安全风险或特定文件。通常您不

必创建例外。

此过程说明的是如何从“更改设置”页面配置集中式例外。您也可以在创建或修改

按需扫描、调度扫描或启动扫描，或者在修改自动防护设置时配置例外。例外会应

用到所有防病毒和防间谍软件扫描。如果您在创建或编辑特定扫描时配置例外，该

例外会应用到所有防病毒和防间谍软件扫描。

-------------------------------------------------------------------------------------

注意：您也可以针对 TruScan 主动型威胁扫描配置集中式例外。

-------------------------------------------------------------------------------------

在 Windows Server 2008 的服务器核心安装中，用户界面对话框可能会与这些步骤

中说明的对话框不同。

有关以下步骤中所使用选项的详细信息，您可以单击“帮助”。

从扫描中排除安全风险

1 在客户端的边栏中，单击“更改设置”。

2 在“集中式例外”旁，单击“配置设置”。

3 在“集中式例外”对话框的“用户定义的例外”选项卡上，单击“添加”>“安

全风险例外”>“已知风险”。

4 在“添加已知的安全风险例外” 对话框中，选中您要从扫描中排除的安全风

险。

5 若要记录检测到或忽略安全风险时的事件，请选中“检测到安全风险时记录”。

6 单击“确定”。

7 在“集中式例外”对话框中，单击“关闭”。

从扫描中排除文件

1 在客户端的边栏中，单击“更改设置”。

2 在“集中式例外”旁，单击“配置设置”。

3 在“集中式例外”对话框的“用户定义的例外”选项卡上，单击“添加”>“安

全风险例外”>“文件”。

4 在“添加安全风险文件例外”对话框中，选择您要排除的文件夹，然后单击

“添加”。

5 在“集中式例外”对话框中，单击“关闭”。

从扫描中排除文件夹

1 在客户端的边栏中，单击“更改设置”。

2 在“集中式例外”旁，单击“配置设置”。

3 在“集中式例外”对话框的“用户定义的例外”选项卡上，单击“添加”>“安

全风险例外”>“文件夹”。

4 在“添加安全风险文件夹例外”对话框中，选择文件夹，选中或取消选中“包

括子文件夹”，然后单击“添加”。

在 Window Server 2008 的服务器核心安装中，用户界面包括两个用于选择文

件夹的对话框。使用第一个对话框可选择文件夹，使用第二个对话框可选择是

否要包括子文件夹。

5 在“集中式例外”对话框中，单击“关闭”。

从扫描中排除扩展名

1 在客户端的边栏中，单击“更改设置”。

2 在“集中式例外”旁，单击“配置设置”。

3 在“集中式例外”对话框的“用户定义的例外”选项卡上，单击“添加”>“安

全风险扩展名例外”。

4 在“添加扩展名例外”对话框中，输入要排除的扩展名。

此文本框中只能包含一个扩展名。若键入多个扩展名，客户端会将该输入项视

为一个扩展名。

5 单击“添加”。

6 重复步骤 4 到步骤 5 以添加更多扩展名。

7 单击“确定”。

8 在“集中式例外”对话框中，单击“关闭”。

关于隔离区

有时，客户端会检测到无法用当前的病毒定义集清除的未知病毒。您可能会认为某

个文件已经受感染，但是扫描却未检测到感染。隔离区会安全地将计算机上可能受

感染的文件隔离起来。隔离病毒之后，病毒便不会散播到您的计算机或网络上的其

他计算机。

关于隔离区中受感染的文件

您可以查看隔离区中受感染的文件。

您可以查看文件的下列信息：

■

风险

■

文件名

■

类型

■

原始位置

■

状态

■

日期

-------------------------------------------------------------------------------------

注意：您运行客户端的操作系统语言可能不能转译风险名称中的某些字符。如果操

作系统不能转译某些字符，这些字符会在通知中显示为问号。例如，某些 Unicode

编码的风险名称可能包括全角字符。在运行客户端的英语操作系统计算机上，这些

字符会显示为问号。

-------------------------------------------------------------------------------------

当客户端将受感染的文件移动到隔离区时，风险便不会自我复制，也不会感染其他

文件。因此，建议无论是对宏病毒感染还是非宏病毒感染，都应将此操作作为第二

操作。

然而，“隔离”操作不会清除风险。风险会停留在计算机上，直到客户端清除风险

或删除文件为止。病毒和宏病毒都可以隔离。引导型病毒不能隔离。通常，引导型

病毒驻留在计算机的引导扇区或分区表中，因而无法将这些项目移动到隔离区。

还可以查看受感染的文件的属性。

关于处理隔离区中受感染的文件

将文件移动到隔离区之后，可以执行下列任一操作：

■

将所选文件还原至其原始位置。

■

永久删除所选文件。

■

收到更新的病毒定义之后，重新扫描文件。

■

将隔离区的内容导出为逗号分隔 (*.csv) 文件或 Access 数据库 (*.mdb) 文件。

■

将文件手动添加到隔离区。您可以浏览至要移动到隔离区的文件的位置，并选

择文件。

■

将文件提交到 Symantec 安全响应中心。按照屏幕上的向导中的说明，提交所选

文件以进行分析。

关于处理受安全风险感染的文件

可以将因存在安全风险而隔离的文件保留在隔离区中，也可以删除这些文件。在确

保计算机上的应用程序未丢失任何功能之前，应将它们保留在隔离区中。

如果您删除与安全风险关联的文件，计算机上的某个应用程序可能会无法正常工

作。该应用程序可能依赖于您删除的关联文件。由于隔离区是可恢复的，因此它是

一个更安全的选项。如果在隔离相关程序文件后，计算机上的任何应用程序无法使

用，则可以还原这些文件。

-------------------------------------------------------------------------------------

注意：成功运行应用程序之后，您可能需要删除文件，以节省磁盘空间。

-------------------------------------------------------------------------------------

管理隔离区

可以使用以下两种方式之一将文件放入隔离区：

■

配置客户端，使其将自动防护或扫描时检测到的受感染项目移动到隔离区。

■

手动选择文件并将其添加到隔离区。

自动防护和所有扫描类型的默认选项是清除检测到的受感染文件中的病毒。如果不

能清除文件，扫描软件则会将文件置入隔离区。对于安全风险，默认选项是将受感

染文件放置到隔离区中，并修复安全风险产生的副作用。

手动将文件添加到隔离区

1 在客户端的边栏中，单击“查看隔离区”。

2 单击“添加”。

3 选择要添加到隔离区的文件，然后单击“添加”。

查看隔离区中的文件和文件详细信息

您可以查看已置入隔离区的文件，并可以查看文件的详细信息。这些详细信息包括

病毒名称，以及发现文件所在计算机的名称。

查看隔离区中的文件和文件详细信息

1 在客户端的边栏中，单击“查看隔离区”。

2 右键单击要查看的文件，然后单击“属性”。

重新扫描隔离区中的文件以确定是否存在病毒

如果文件已置于隔离区中，请更新病毒定义。更新定义时，可能会自动扫描、清除

或还原隔离区中的文件。如果出现修复向导，则可以重新扫描隔离区中的文件。

重新扫描隔离区中的文件之后，如果客户端仍然不能删除病毒，则可以将受感染的

文件提交到 Symantec 安全响应中心进行分析。

使用修复向导重新扫描隔离区中的文件

1 如果出现修复向导，请单击“是”。

2 单击“下一步”。

3 按照屏幕上的说明重新扫描隔离区中的文件。

手动重新扫描文件

可以手动重新扫描隔离区中的文件以确定是否存在病毒（而非安全风险）。

手动重新扫描隔离区中的文件以确定是否存在病毒

1 更新病毒定义。

2 在客户端的边栏中，单击“查看隔离区”。

3 选择文件，然后单击“清除”。

修复后的文件无法返回到其原始位置时

偶然情况下，干净文件没有可以返回的位置。例如，受感染的附件是从电子邮件中

剥离出来的并放置到了隔离区中。您必须释放此文件并指定存放文件的位置。

从隔离区释放已清除病毒的文件

1 在客户端的边栏中，单击“查看隔离区”。

2 右键单击修复的文件，然后单击“还原”。

3 为已清除病毒的文件指定位置。

清除备份项目

在试图清除或修复项目之前，客户端默认会备份受感染的项目。在客户端成功清除

病毒之后，您应该手动删除隔离区中的项目，这是因为备份仍然受感染。您也可以

设置一个自动删除文件的时间段。

手动清除备份项目

1 在客户端的边栏中，单击“查看隔离区”。

2 选择一或多个备份文件。

3 单击“删除”。

从隔离区删除文件

您可以从隔离区手动删除不再需要的文件。也可以设置一个自动删除文件的时间

段。

从隔离区手动删除文件

1 在客户端的边栏中，单击“查看隔离区”。

2 选择一或多个文件。

3 单击“删除”。

自动从隔离区删除文件

您可以将软件设置为在经过指定的时间间隔后自动从隔离区列表删除项目。您还可

以指定在存储项目的文件夹达到特定大小时让客户端删除项目。此配置可防止因忘

记手动删除而造成此类文件在这些区域中堆积。

自动删除文件

1 在客户端的边栏中，单击“查看隔离区”。

2 单击“清除选项”。

3 在“清除选项”对话框中，选择下列其中一个选项卡：

■

隔离项目

■

备份项目

■

修复的项目

4 选中或取消选中“存储的时间超过”，以启用或禁用客户端在配置的时间到期

之后删除文件的功能。

5 如果您选中“存储的时间超过”复选框，请键入或单击箭头输入期限。

6 从下拉列表中选择时间单位。默认设置为 30 天。

7 如果您选中“文件夹总大小超过”复选框，则键入允许的最大文件夹大小（以

MB 为单位）。默认值为 50 MB。

如果选中这两个复选框，则会首先清除早于所设时间的所有文件。如果文件夹

大小仍然超过您设置的限制，则客户端会逐个删除最旧的文件。客户端会删除

最旧的文件，直到文件夹大小不超过限制为止。

8 对于任何其他选项卡，重复执行步骤 4 至 7。

9 单击“确定”。

将可能受感染的文件提交到 Symantec 安全响应中心进行分析

有时，客户端不能清除文件中的病毒。或者，您可能认为文件已经受感染，但是客

户端却未检测到感染。如果将文件提交到 Symantec 安全响应中心，则他们可以对

您的文件进行分析以确保其未受感染。要提交示例，必须连接 Internet。

注意：如果管理员禁用这些类型的提交，“提交到 Symantec 安全响应中心”选项

将不可用。

将文件从隔离区提交到 Symantec 安全响应中心

1 在客户端的边栏中，单击“查看隔离区”。

2 在隔离的项目列表中选择文件。

3 单击“提交”。

4 按照向导中屏幕上的说明收集必要的信息并提交文件以进行分析。

管理主动型威胁防护

本章节包括下列主题：

■

关于 TruScan 主动型威胁扫描

■

配置 TruScan 主动型威胁扫描的运行频率

■

管理 TruScan 主动型威胁检测

■

配置 TruScan 主动型威胁扫描检测的通知

■

将 TruScan 主动型威胁扫描相关信息提交到 Symantec 安全响应中心

■

配置 TruScan 主动型威胁扫描的集中式例外

关于 TruScan 主动型威胁扫描

TruScan 主动型威胁扫描可提供零时差攻击防护。零时差攻击防护是指防御未知的

威胁或漏洞。主动型威胁扫描可以检测计算机中疑似恶意行为的活动进程。由于未

知威胁没有特征可加以标识，因此主动型威胁扫描会通过标记可疑行为来标识潜在

风险。

默认的主动型威胁扫描设置适用于许多用户。您可以更改设置以适应计算机所需的

启发式防护级别。

更改主动型威胁扫描设置之前，您应该先考虑下列问题：

■

计算机出现威胁时您是否需要收到相关信息？

■

您需要扫描进程的频率和时间为何？

■

您希望将多少计算机资源分配给主动型威胁扫描？

TruScan 主动型威胁扫描检查的进程和应用程序

主动型威胁扫描不同于防病毒和防间谍软件扫描。主动型威胁扫描会检查出现可疑

行为的特定类型的进程或应用程序。

主动型威胁扫描会检测疑似特洛伊木马、蠕虫或击键记录程序的进程。您可以启用

或禁用该检测。

-------------------------------------------------------------------------------------

注意：TruScan 是主动型威胁扫描的新名称。

-------------------------------------------------------------------------------------

除了特洛伊木马、蠕虫和击键记录程序之外，主动型威胁扫描也会检测疑似广告软

件和间谍软件的进程。您不能配置主动型威胁扫描处理这些类型的检测的方式。如

果主动型威胁扫描检测到广告软件或间谍软件，而您需要允许这些软件出现在客户

端计算机上，则您或管理员应该创建集中式例外。

主动型威胁扫描也会检测常见的可能用于恶意用途的商业应用程序。Symantec 会

保留一个这些商业应用程序的列表，并且会定期更新该列表。这些应用程序包括监

控或记录用户击键，或者远程控制用户计算机的商业应用程序。您可以设置 Symantec

Endpoint Protection 处理这些检测的操作方式。

表 7-1 说明主动型威胁扫描所检测的进程。

关于 TruScan 主动型威胁扫描的例外

您可以为主动型威胁扫描创建一些例外。

关于 TruScan 主动型威胁扫描检测

主动型威胁扫描会记录、隔离或终止检测到的潜在恶意进程。使用扫描结果对话

框、主动型威胁防护日志或隔离列表，您可以查看检测。

注意：主动型威胁扫描设置不会影响防病毒和防间谍软件扫描，因为它们使用特征

检测已知风险。Symantec Endpoint Protection 会先检测已知的风险。

默认情况下，客户端会执行下列操作：

■

记录常见商业应用程序的检测

■

记录检测出的行为疑似特洛伊木马、蠕虫或击键记录程序的程序

■

隔离疑似特洛伊木马、蠕虫或击键记录程序行为的进程，并隔离需要补救的进

程

主动型威胁扫描隔离检测时，也会处理进程的任何副作用。内容更新下载至计算机

后，如果客户端重新扫描检测，则客户端可能将进程还原至计算机。如果进程不再

被视为恶意程序，客户端就会还原进程。客户端也会还原进程的任何副作用。然

而，客户端不会自动重新启动进程。

对于商业击键记录程序或远程控制应用程序的检测，您可以指定不同的操

作。例如，您可能需要忽略商业击键记录程序的检测。客户端忽略某应用程序时，

会允许该应用程序，并不会记录其检测。

对于特洛伊木马、蠕虫或击键记录程序的检测，您可以指定特定操作，使客户端在

进行检测时始终使用此操作。

关于误报反应

TruScan 主动型威胁扫描有时会检测到误报。这些扫描会查找有可疑行为的应用程

序和进程，而不会查找已知病毒或安全风险。由于其本身的特性，这些扫描通常会

标记不需要检测的项目。

如果主动型威胁扫描会检测您认为不算问题的进程，则您可以创建例外，这样，将

本文标签： 扫描文件防护风险病毒